29
Ubersicht
• Was ist Biometrie?
• Biometrische Verfahren
• Beispiele
• Entwicklungen
Biometrie 2/24
Begriffsklarung
• Begriff”biometrics“ mehrdeutig
• Biometrie: Bio-Mathematik, medizinische Statistik
• Biometrik: (automatisches) Messen eines biologischen Merkmals
• biometrische Identifikation
Biometrie 3/24
Authentisierung
• Authentisierung durch . . .
– etwas, das ich weißPaßwort, PIN, . . .
– etwas, das ich habeMensakarte, token, . . .
– Kombination von beidemEC-Karte, . . .
Biometrie 4/24
Authentisierung, cont.
• Problem:
– keine unmittelbare Uberprufung der Person
– Wissen/Gegenstand kann weitergegeben werden
Biometrie 5/24
Authentisierung, cont.
• Problem:
– keine unmittelbare Uberprufung der Person
– Wissen/Gegenstand kann weitergegeben werden
. . . freiwillig, oder auch nicht
Biometrie 5/24
Authentisierung, cont.
• Problem:
– keine unmittelbare Uberprufung der Person
– Wissen/Gegenstand kann weitergegeben werden
. . . freiwillig, oder auch nicht
– Mensakarte vergessen, account sharing
– phishing,”ATM-frontends“, . . .
Biometrie 5/24
Authentisierung, cont.
• Problem:
– keine unmittelbare Uberprufung der Person
– Wissen/Gegenstand kann weitergegeben werden
. . . freiwillig, oder auch nicht
– Mensakarte vergessen, account sharing
– phishing,”ATM-frontends“, . . .
• Idee:
Stelle Identitat durch biometrische Merkmale fest.
Biometrie 5/24
Authentisierung durch Biometrie
• etwas, das nur ich kann
• etwas, das nur ich besitzen kann
Biometrie 6/24
Authentisierung durch Biometrie
• etwas, das nur ich kann
• etwas, das nur ich besitzen kann
• Fragen:
– Geeignete Merkmale?
– Zuverlassigkeit, Robustheit
– Verarbeitung/Verwendung der Daten
– Wirklich”nur ich“???
Biometrie 6/24
Merkmale
• Anforderungen (Roger Clark, 1994):
universality exclusivity
uniqueness precision
permanence simplicity
indispensability cost
collectibility convenience
storability acceptability
• kaum alle gleichzeitig erfullbar
Biometrie 7/24
Anwendung
enrollment• Erfassung des biometrischen Merkmals
• typisch: Generierung eines templates
• Speicherung von Merkmal oder template
verification• Eingabe: ID + Merkmal
• Ausgabe: match/mismatch
identification• Eingabe: Merkmal
• Ausgabe: ID
Biometrie 8/24
template-Verwaltung
• zentrale Sammlung von templates
IDmatch/mismatch
• template beim Eigentumer
match/mismatch
• dezentrale template-Verwaltung nur zur Verifikation geeignet
• Speicherung durch Barcode, Chip, . . . in Ausweis, token, . . .
Biometrie 9/24
Fehler• Fehler bei der Erfassung (FTA, failure to acquire)
• Fehler beim enrollment (FTE, failure to enroll)
• kein standardisiertes Qualitatsmaß
• gebrauchliche Angaben:
FAR false acceptance rate
FRR false rejection rate
FAR FRR
Aufwand
Biometrie 10/24
Biometrische Merkmale
• verbreitete Verwendung:
– Fingerabdrucke, Handgeometrie, Gesicht
– Iris, Retina, Venenmuster
– Unterschrift, Schrift
– Stimme
• (mogliche?) Merkmale:
– DNA (genetischer Fingerabdruck)
– Tippgeschwindigkeit/-verhalten
– Geruch
– . . .
Biometrie 11/24
Fingerabdrucke
• seit Ende des 19. Jahrhundertskriminalistisches Werkzeug
• Merkmale: Minutien
• verschiedene Meßverfahren:
– optisch
– kapazitativ
– thermisch
– akustisch
Biometrie 12/24
Probleme?• Akzeptanz: erkennungsdienstliche Behandlung
• nie wissenschaftlich belegt
• Lesegerate durch einfache Verfahren zu uberlisten
• Tsutomu MatsumotoImpact of Artificial “Gummy” Fingers on Fingerprint Systems
• 80% Erfolgsrate, optische und kapazitative Systeme
• Beweismittel eßbar
Biometrie 13/24
Gesichtserkennung
•”naturlichstes“ Verfahren
• bereits im Einsatz (Paßbild)
• Originalbild oder Gesichtsgeometrie
• Besonderheit:
– auf großere Entfernung anwendbar
– ohne Einverstandnis/Wissen anwendbar
Biometrie 14/24
Probleme?• Veranderungen (Alterung, Brille, Bart, Piercings, . . . )?
• schlechte Resultate
• kleiner Personenkreis, Verifikation oder sekundares Merkmal
Biometrie 15/24
Iris
• (vermutlich) sehr individuelles Merkmal
• zeitlich konstant
• schwer ohne Kooperation des Besitzers zu erfassen
• Verfahren durch Iridian Technologies patentiert
Biometrie 16/24
Probleme
• Benutzervorbehalte (Verwechslung mit Retina-Scan?)
• schwierigere Bedienung
• Iris ungeeignet, nicht vorhanden, schlecht sichtbar
Biometrie 17/24
Beispiele 1
• Zoo Hannover: Smile & Go
• Identifikation durch Gesichtserkennung
• gute Akzeptanz bei den Besuchern
• Fehlschlag: Fingerabdruckerkennung
Biometrie 18/24
Beispiel 2
• Flughafen Frankfurt: Automated Border Controls (ABG)
• maschinenlesbarer Paß + Iris-Scan
• Speicherung der templates in lokaler Datenbank
Biometrie 19/24
Beispiel 3
• Flughafen Shiphol, Amsterdam: Automatic Border Passage (AGP)
• Iris-Scan + Smartcard (”Privium Card“) mit template
• Abgleich mit aktueller Fahndungsliste
• Testphase ab Oktober 2001, seit Oktober 2002 in Betrieb
• kombiniert mit anderen Dienstleistungen, 119 €/Jahr
• Vorlaufer (Fingerabdruck) aus kommerziellen Grunden eingestellt
Biometrie 20/24
Beispiel 4
• UNHCR Afghanistan
• Ruckkehrer aus Pakistan
• Iris-Scan
• keine Verknupfung von Name/Identitat mit Bild/template
• 200000 Personen, 1000 entdeckte Betrugsversuche (10/2003)
Biometrie 21/24
zukunftige Entwicklungen• International Civil Aviation Organization (ICAO):
“The use of biometrics as an identity authentication [. . . ]function will result in [. . . ] the ability to know with morecertainty, exactly who is getting onto flights.”
• primares Merkmal: Gesicht
• Interoperabilitat: keine templates sondern Bilddaten (JPEG)
• Daten signiert (PKI), aber nicht verschlusselt
• kontaktlose Datenubertragung
• offener Brief (FoeBuD, Big Brother Awards, EFF, . . . )
http://www.foebud.de/texte/aktion/icao/
Biometrie 22/24
zukunftige Entwicklungen, cont.
• Terrorismusbekampfungsgesetz
• Ziel: Echtheit von Ausweisdokumenten gewahrleisten
• Bundesburger: keine bundesweite Speicherung
• Auslander: Verwendung nicht geregelt
• zulassige Merkmale: Finger, Hande, Gesicht
• Daten konnen verschlusselt werden
• Kosten: zwischen 22/4,5 M€ und 669/610 M€ (einmalig/p.a.)
• keine Erfahrung mit landesweitem Einsatz
Biometrie 23/24
Sinn und Unsinn
• Beispiel Stadionkontrolle (Bruce Schneier, Beyond Fear):
– FAR = FRR = 0,1% (derzeit unrealistisch)
– 1 in 10 Millionen Zuschauer: Terrorist
– 75 Fehlalarme pro Spiel
– 1 unerkannter Terrorist in 133 Spielen
• technische Angriffe (replay-Attacken, Lebenderkennung,. . . )
• Falschungen, nicht-autorisierte template-Erzeugung
• key revocation
• inflationarer Einsatz,”digitale Spur“, Selbstbestimmung
Biometrie 24/24
Quellen
Die gezeigten Abbildungen stammen aus frei zuganglichen Quellen imWWW. Die Mehrzahl von ihnen durfte einem Copyright unterliegen.Sollte ein Copyright-Inhaber Einwande gegen die Veroffentlichunginnerhalb dieser Prasentation haben, moge er sich bitte an den Autorwenden.
The images shown in this presentation were downloaded frompublicaly available sources in the WWW. Most of them are probablycopyrighted. If a copyright owner objects to the use and publication ofhis/her images in the context of this presentation, please contact theauthor.
Biometrie 25/24
